Informationen zu Point-to-Site-VPN

Mit einer P2S-VPN-Gatewayverbindung (Point-to-Site) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure-VNETs herstellen möchten. Wenn nur einige wenige Clients eine Verbindung mit einem VNET herstellen müssen, ist ein P2S-VPN (und nicht ein S2S-VPN) ebenfalls eine nützliche Lösung. Dieser Artikel gilt für das Resource Manager-Bereitstellungsmodell.

Welches Protokoll verwendet P2S?

P2S-VPN kann eins der folgenden Protokolle verwenden:

  • OpenVPN®-Protokoll, ein auf SSL/TLS basierendes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. OpenVPN kann zum Herstellen einer Verbindung von Android-, iOS- (Version 11.0 und höher), Windows-, Linux- und Mac-Geräten (macOS-Version 10.13 und höher) verwendet werden.

  • Secure Socket Tunneling-Protokoll (SSTP), ein proprietäres TLS-basiertes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. SSTP wird nur auf Windows-Geräten unterstützt. Azure unterstützt alle Versionen von Windows, die über SSTP verfügen und TLS 1.2 unterstützen (Windows 8.1 und höher).

  • IKEv2 VPN, eine standardbasierte IPsec-VPN-Lösung. IKEv2-VPN kann zum Herstellen einer Verbindung von Mac-Geräten (macOS-Version 10.11 und höher) verwendet werden.

Hinweis

IKEv2 und OpenVPN für P2S sind ausschließlich für das Resource Manager-Bereitstellungsmodell verfügbar. Für das klassische Bereitstellungsmodell sind sie nicht verfügbar.

Wie werden P2S-VPN-Clients authentifiziert?

Bevor Azure eine P2S-VPN-Verbindung akzeptiert, muss zunächst der Benutzer authentifiziert werden. Azure bietet zwei Mechanismen zum Authentifizieren eines Benutzers, der eine Verbindung herstellt.

Authentifizieren mit der nativen Azure-Zertifikatauthentifizierung

Bei Verwendung der nativen Azure-Zertifikatauthentifizierung wird der Benutzer, der eine Verbindung herstellt, mit einem auf dem Gerät vorhandenen Clientzertifikat authentifiziert. Clientzertifikate werden über ein vertrauenswürdiges Stammzertifikat generiert und dann auf jedem Clientcomputer installiert. Sie können ein Stammzertifikat verwenden, das mit einer Unternehmenslösung generiert wurde, oder ein selbstsigniertes Zertifikat generieren.

Die Überprüfung des Clientzertifikats wird vom VPN-Gateway durchgeführt und erfolgt während der Herstellung der P2S-VPN-Verbindung. Das Stammzertifikat ist für die Überprüfung erforderlich und muss in Azure hochgeladen werden.

Authentifizieren mit der nativen Azure Active Directory-Authentifizierung

Die Azure AD-Authentifizierung ermöglicht Benutzern das Herstellen einer Verbindung mit Azure mit ihren Azure Active Directory-Anmeldeinformationen. Die native Azure AD-Authentifizierung wird nur für das OpenVPN-Protokoll und Windows 10 und höher unterstützt und erfordert die Verwendung von Azure VPN Client. Die unterstützten Clientbetriebssysteme sind Windows 10 oder höher und macOS.

Mit der nativen Azure AD-Authentifizierung können Sie den bedingten Zugriff von Azure AD sowie die Multi-Factor Authentication-Funktionen (MFA) für VPN nutzen.

Auf einer hohen Ebene müssen Sie die folgenden Schritte ausführen, um die Azure AD-Authentifizierung zu konfigurieren:

  1. Konfigurieren eines Azure AD-Mandanten

  2. Aktivieren der Azure AD-Authentifizierung im Gateway

  3. Laden Sie die neueste Version der Installationsdateien von Azure VPN Client über einen der folgenden Links herunter:

Authentifizieren mit Active Directory-Domänenserver (AD)

Die AD-Domänenauthentifizierung ermöglicht Benutzern das Herstellen einer Verbindung mit Azure mit ihren Anmeldeinformationen für die Organisationsdomäne. Dafür ist ein RADIUS-Server erforderlich, der in den AD-Server integriert wird. Organisationen können auch ihre vorhandene RADIUS-Bereitstellung nutzen.

Der RADIUS-Server kann lokal oder im Azure-VNET bereitgestellt werden. Während der Authentifizierung fungiert das Azure-VPN-Gateway als Vermittler und leitet Authentifizierungsnachrichten zwischen dem RADIUS-Server und dem Gerät weiter, das eine Verbindung herstellt. Die Erreichbarkeit des Gateways durch den RADIUS-Server ist daher wichtig. Wenn sich der RADIUS-Server in der lokalen Umgebung befindet, ist aus Gründen der Erreichbarkeit eine VPN-Site-to-Site-Verbindung zwischen Azure und dem lokalen Standort erforderlich.

Der RADIUS-Server kann auch in AD-Zertifikatdienste integriert werden. Dadurch können Sie den RADIUS-Server und Ihre Unternehmenszertifikatbereitstellung für die P2S-Zertifikatauthentifizierung als Alternative zur Azure-Zertifikatauthentifizierung verwenden. Der Vorteil besteht darin, dass Sie keine Stammzertifikate und gesperrten Zertifikate in Azure hochladen müssen.

Ein RADIUS-Server kann auch in andere externe Identitätssysteme integriert werden. Dadurch ergeben sich zahlreiche Authentifizierungsoptionen für P2S-VPNs, einschließlich Optionen für die mehrstufige Authentifizierung.

Diagramm: Point-to-Site-VPN mit einer lokalen Website

Welche Anforderungen an die Clientkonfiguration müssen erfüllt sein?

Hinweis

Bei Windows-Clients müssen Sie über Administratorrechte auf dem Clientgerät verfügen, um die VPN-Verbindung von dem Clientgerät zu Azure zu initiieren.

Benutzer verwenden die nativen VPN-Clients auf Windows- und Mac-Geräten für P2S. Azure bietet eine ZIP-Datei mit der VPN-Clientkonfiguration, die Einstellungen enthält, die diese nativen Clients zum Herstellen einer Verbindung mit Azure benötigen.

  • Bei Windows-Geräten besteht die VPN-Clientkonfiguration aus einem Installer-Paket, das Benutzer auf ihren Geräten installieren.
  • Bei Mac-Geräten besteht sie aus der Datei „mobileconfig“, die Benutzer auf ihren Geräten installieren.

Die ZIP-Datei enthält zudem die Werte einiger wichtiger Einstellungen in Azure, mit denen Sie ein eigenes Profil für diese Geräte erstellen können. Zu den Werten zählen die VPN-Gatewayadresse, konfigurierte Tunneltypen, Routen und das Stammzertifikat für die Gatewayüberprüfung.

Hinweis

Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.

Welche Gateway-SKUs unterstützen P2S-VPN?

VPN
Gateway
Generation
SKU S2S/VNet-zu-VNet
Tunnel
P2S
SSTP-Verbindungen
P2S
IKEv2/OpenVPN-Verbindungen
Aggregat
aggregierten Durchsatz
BGP Zonenredundant
Generation 1 Grundlegend Maximal 10 Maximal 128 Nicht unterstützt 100 MBit/s Nicht unterstützt Nein
Generation 1 VpnGw1 Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Nein
Generation 1 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Nein
Generation 1 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Nein
Generation 1 VpnGw1AZ Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Ja
Generation 1 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Ja
Generation 1 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Ja
Generation 2 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Nein
Generation 2 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Nein
Generation 2 VpnGw4 Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Nein
Generation 2 VpnGw5 Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Nein
Generation 2 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Ja
Generation 2 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Ja
Generation 2 VpnGw4AZ Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Ja
Generation 2 VpnGw5AZ Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Ja

(*) Verwenden Sie Virtual WAN, wenn Sie mehr als 100 S2S-VPN-Tunnel benötigen.

  • Größenänderungen für VpnGw-SKUs sind innerhalb der gleichen Generation möglich. Dies gilt jedoch nicht für die Basic-SKU. Die Basic-SKU ist eine Legacy-SKU und unterliegt Featureeinschränkungen. Wenn Sie von der Basic-SKU zu einer anderen SKU wechseln möchten, müssen Sie das VPN-Gateway der Basic-SKU löschen und ein neues Gateway mit der gewünschten Generation und SKU-Größe erstellen (siehe Arbeiten mit Legacy-SKUs).

  • Diese Verbindungsgrenzwerte sind voneinander getrennt. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.

  • Informationen zu den Preisen finden Sie auf der Seite Preise .

  • Informationen zum SLA (Vereinbarung zum Servicelevel) finden Sie auf der SLA-Seite.

  • Wenn Sie über viele P2S-Verbindungen verfügen, kann dies negative Auswirkungen auf Ihre S2S-Verbindungen haben. Die Benchmarkwerte für den aggregierten Durchsatz wurden anhand einer Kombination aus S2S- und P2S-Verbindungen getestet. Eine einzelne P2S- oder S2S-Verbindung kann einen deutlich niedrigeren Durchsatz aufweisen.

  • Beachten Sie, dass die Benchmarkwerte nicht garantiert werden können, da sie von den Internetdatenverkehr und dem Verhalten Ihrer Anwendung abhängen

Damit unsere Kunden die relative Leistung von SKUs mit unterschiedlichen Algorithmen besser nachvollziehen können, haben wir für die Leistungsermittlung von S2S-Verbindungen die öffentlich verfügbaren Tools iPerf und CTSTraffic verwendet. Die folgende Tabelle enthält die Ergebnisse von Leistungstests für VpnGw-SKUs. Wie Sie sehen, wird die beste Leistung erzielt, wenn sowohl für die IPSec-Verschlüsselung als auch für die Integrität der GCMAES256-Algorithmus verwendet wird. Bei Verwendung von AES256 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde eine durchschnittliche Leistung erzielt. Bei Verwendung von DES3 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde die geringste Leistung erzielt.

Ein VPN-Tunnel stellt eine Verbindung mit einer VPN-Gatewayinstanz her. Jeder Instanzdurchsatz wird in der obigen Durchsatztabelle erwähnt und steht aggregiert über alle Tunnel zur Verfügung, die eine Verbindung mit dieser Instanz herstellen.

Die folgende Tabelle veranschaulicht die beobachtete Bandbreite und den Durchsatz in Paketen pro Sekunde pro Tunnel für die verschiedenen Gateway-SKUs. Alle Tests wurden zwischen Gateways (Endpunkten) in Azure in verschiedenen Regionen mit 100 Verbindungen unter Standardlastbedingungen durchgeführt.

Generation SKU Algorithmen
used
Durchsatz
pro Tunnel
Beobachtete Pakete pro Sekunde
und Tunnel
Generation 1 VpnGw1 GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
130 MBit/s
62.000
47.000
12.000
Generation 1 VpnGw2 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,2 GBit/s
650 MBit/s
140 MBit/s
100.000
61.000
13.000
Generation 1 VpnGw3 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
700 MBit/s
140 MBit/s
120.000
66.000
13.000
Generation 1 VpnGw1AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
130 MBit/s
62.000
47.000
12.000
Generation 1 VpnGw2AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,2 GBit/s
650 MBit/s
140 MBit/s
110.000
61.000
13.000
Generation 1 VpnGw3AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
700 MBit/s
140 MBit/s
120.000
66.000
13.000
Generation 2 VpnGw2 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
130 MBit/s
120.000
52.000
12.000
Generation 2 VpnGw3 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,5 GBit/s
700 MBit/s
140 MBit/s
140.000
66.000
13.000
Generation 2 VpnGw4 GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw5 GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw2AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
130 MBit/s
120.000
52.000
12.000
Generation 2 VpnGw3AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,5 GBit/s
700 MBit/s
140 MBit/s
140.000
66.000
13.000
Generation 2 VpnGw4AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw5AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000

Hinweis

Die Basic-SKU unterstützt keine IKEv2- oder RADIUS-Authentifizierung.

Welche IKE/IPsec-Richtlinien werden in VPN-Gateways für P2S konfiguriert?

IKEv2

Verschlüsselung Integrität PRF DH-Gruppe
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Verschlüsselung Integrität PFS-Gruppe
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Welche TLS-Richtlinien werden in VPN-Gateways für P2S konfiguriert?

TLS

Richtlinien
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Wie konfiguriere ich eine P2S-Verbindung?

Eine P2S-Konfiguration erfordert einige bestimmte Schritte. Die folgenden Artikel enthalten die Schritte, anhand derer Sie eine P2S-Konfiguration durchführen können, und Links zur Konfiguration der VPN-Clientgeräte:

Entfernen der Konfiguration einer P2S-Verbindung

Sie können die Konfiguration einer Verbindung mithilfe von PowerShell oder der CLI entfernen. Beispiele finden Sie in den häufig gestellten Fragen.

Wie funktioniert P2S-Routing?

Weitere Informationen finden Sie in folgenden Artikeln:

Häufig gestellte Fragen

Es gibt mehrere FAQ-Abschnitte für P2S, die sich auf die Authentifizierung beziehen.

Nächste Schritte

„OpenVPN“ ist eine Marke von OpenVPN Inc.